El actor de amenazas zeta88 está promocionando una nueva operación de ransomware-as-a-service llamada The Gentlemen's RaaS en foros de hacking, dirigida a sistemas Windows, Linux y ESXi. La plataforma ofrece a los afiliados el 90 por ciento de los pagos de rescate y cuenta con herramientas de encriptación multiplataforma desarrolladas en Go y C. Este desarrollo resalta la comercialización continua de ransomware sofisticado dirigido a entornos empresariales.
El 29 de octubre de 2025, surgieron informes de inteligencia de amenazas que detallan la publicidad de The Gentlemen's RaaS por parte del operador conocido como zeta88 en foros de hacking clandestinos. Este ransomware-as-a-service (RaaS) multiplataforma apunta a sistemas empresariales que ejecutan Windows, Linux —incluyendo almacenamiento conectado a la red (NAS) y variantes BSD— y entornos virtuales VMware ESXi.
La arquitectura técnica enfatiza la modularidad y la eficiencia. Los bloqueadores para Windows y Linux están construidos en Go para compilación cruzada y optimización de recursos, mientras que la variante ESXi, codificada en C, tiene un tamaño compacto de aproximadamente 32 kilobytes para facilitar un despliegue sigiloso en configuraciones virtualizadas. El cifrado se basa en el cifrador de flujo XChaCha20 y Curve25519 para el intercambio de claves, con claves efímeras por archivo para dificultar los esfuerzos de descifrado. Los mecanismos de propagación y persistencia incluyen Windows Management Instrumentation (WMI), WMIC, SCHTASKS para tareas programadas, SC para servicios y PowerShell Remoting, lo que permite el movimiento lateral y la ejecución al iniciar. El malware también automatiza el descubrimiento de recursos compartidos en red para una propagación similar a un gusano.
Económicamente, el programa asigna el 90 por ciento de los ingresos por rescate a los afiliados, con los operadores reteniendo el 10 por ciento. Los afiliados controlan las negociaciones, aprovechando su experiencia, mientras que el operador proporciona soporte backend, incluyendo un sitio de filtración de datos para datos exfiltrados y un descifrador universal para todas las plataformas. Las compilaciones están protegidas con contraseña para evadir el análisis.
La operación excluye objetivos en Rusia y países de la Comunidad de Estados Independientes (CEI), una característica común en el cibercrimen afiliado a Rusia. Todas las especificaciones provienen de materiales promocionales no verificados, pero se alinean con las tendencias en el desarrollo profesional de ransomware. Se aconseja a las organizaciones mejorar la detección de endpoints, la segmentación de redes y las copias de seguridad contra tales amenazas.
